ジョブ接続A-> BおよびB-> Cがあります。
3日間試した後も少し助けが必要ですが、まだ望む結果を得ることはできません。
IPsecポリシーを使用してA-> CおよびC -> Aから接続を取得するには、サイトBで何を設定する必要がありますか?
サイトAマイクロティック
ローカル 10.10.0.0/24
公開=179.xxx
サイトB Ubuntuサービス
ローカル 192.168.0.0/24
公開=216.xxx
サイトC Pfsense
ローカル 192.168.255.0/24
公開=218.xxx
B-> Aを接続する
type=tunnel
auto=add
keyexchange=ikev2
authby=secret
leftid=216.x.x.x
left=216.x.x.x
leftsubnet=192.168.0.0/24
right=179.x.x.x
rightsubnet=10.10.0.0/24
ike=aes256-sha1-modp2048!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
B-> Cを接続する
type=tunnel
auto=add
keyexchange=ikev2
authby=secret
leftid=216.x.x.x
left=216.x.x.x
leftsubnet=192.168.0.0/24
right=218.x.x.x
rightsubnet=192.168.255.0/24
ike=aes256-sha1-modp2048!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
ベストアンサー1
このクラシックではハブとスポークのシナリオ、IPsecポリシーをネゴシエートする必要があります(以下を介して)。左|右サブネット)には、ローカル側でAとCを接続するこれらのサブネットが含まれます。
したがって、B-> Aには設定し、leftsubnet=192.168.0.0/24,192.168.255.0/24B-> Cには設定する必要がありますleftsubnet=192.168.0.0/24,10.10.0.0/24。
AとCでは、AのリモートトラフィックセレクタにCのサブネットが含まれ、その逆も可能なように同様の変更を行う必要があります(Bの実際のリモートサブネットネットワークに範囲を絞り込むには0.0.0.0/0を提案することもできます) 。この2つの方法は、Bに接続されているホストがCHILD_SAごとに複数のサブネットをサポートしている場合にのみ機能します(Mikrotikの場合はそうではありません)。そうでない場合は、各サブネットに対して別々の接続を作成する必要があります(参照:このよくある質問StrongSwan Wikiから)。